معرفی قابلیت DNS Protection در فایروال‌های Sophos

Sophos DNS Protection، یک لایه دیگر از امنیت را به شبکه اضافه می‌کند. هدف آن مسدودسازی فوری دسترسی به دامنه‌های ناامن و ناخواسته، در تمام پورت‌ها، پروتکل‌ها و برنامه‌های کاربردی– در تمام دستگاه‌های مدیریت‌شده و مدیریت‌نشده – است.

Sophos DNS Protection، یک سرویس DNS (ترجمه نام دامنه‌ها به IP)، در سطح جهانی و با مدیریت و گزارش یکپارچه در Sophos Central است. این قابلیت توسط سامانه هوش تهدید در زمان واقعی SophosLabs پشتیبانی می‌شود. برای محافظت از سازمان شما در برابر فعالیت دامنه‌های مخرب و ارائه امکان اعمال سیاست برای دسته‌ها یا فهرست دامنه‌ها.

با استفاده از Sophos DNS Protection، می‌توانید از دسترسی هر دستگاه در شبکه به دامنه‌های مرتبط با تهدیدات امنیتی و سایر وب‌سایت‌های ناخواسته، جلوگیری کنید.

DNS Protection، حفاظتی را که توسط سایر ویژگی‌های امنیتی Sophos Firewall ارائه می‌شود، تکمیل می‌کند. استقرار آن در یک شبکه محافظت‌شده توسط Sophos Firewall یک لایه اضافی از حفاظت را فراهم می‌نماید که تضمین می‌کند تمام پروتکل‌ها و پورت‌ها در برابر دسترسی به دامنه‌های خطرناک یا نامناسب محافظت می‌شوند.

اهمیت حیاتی DNS در امنیت شبکه مدرن

در معماری‌های امنیتی پیشرفته، سیستم نام دامنه (DNS) دیگر صرفاً یک زیرساخت آدرس‌دهی نیست؛ بلکه به یک ابزار تبدیل شده که مهاجمان از آن برای اجرای مراحل کلیدی حملات هدفمند استفاده می‌کنند. تهدیداتی نظیر فیشینگ، توزیع بدافزار و به ویژه ارتباطات فرمان و کنترل (C2) پس از آلودگی اولیه، اغلب در سطح DNS فعال می‌شوند. حفاظت‌های سنتی فایروال، هرچند که در لایه‌های کاربردی (Application Layer) بسیار قوی عمل می‌کنند، ممکن است در مواجهه با تهدیدات مبتنی بر DNS که به سرعت و در همان گام اول سعی در برقراری ارتباط مخرب دارند، دچار تأخیر در واکنش شوند.

قابلیت Sophos DNS Protection با هدف ایجاد یک سد دفاعی پیشگیرانه در لایه هفتم طراحی شده است. این سرویس دسترسی به دامنه‌های مرتبط با تهدیدات امنیتی، یا ناهمخوان با سیاست‌های سازمانی را در اولین فرصت مسدود می‌کند، پیش از آنکه فرآیندهای سنگین‌تر امنیتی مانند بازرسی TLS یا DPI (Deep Packet Inspection) آغاز شوند. این رویکرد پیشگیرانه، به طور مؤثری کارایی کلی حفاظت در برابر بدافزارها، باج‌افزارها و حملات فیشینگ را تقویت می‌کند.

قابلیت‌ها

 

اعمال سیاست و مسدودسازی توسط SophosLabs

Sophos DNS Protection، به عنوان یک Resolver امنیتی عمل می‌کند و اجرای آن مستلزم هدایت تمامی درخواست‌های DNS شبکه به سمت نشانی‌های IP اختصاصی سوفوس است.

اگر دامنه در لیست تهدیدات امنیتی (Threats or Security Risks) در SophosLabs قرار داشته باشد، همواره مسدود می‌شود، حتی اگر سیاست‌های محلی سعی در مجاز کردن آن داشته باشند. در غیر این صورت مطابق با سیاست‌های فیلترینگ محتوای تعریف‌شده در فایروال اقدام خواهد شد.

این فرآیند در سطح DNS عمل می‌کند و دسترسی به دامنه‌های مرتبط با C2، فیشینگ، و باج‌افزار را در سریع‌ترین زمان ممکن، بدون توجه به پورت یا پروتکل مورداستفاده مانند HTTP یا پروتکل‌های غیر وب متوقف می‌سازد.

یکپارچگی با Sophos XDR

Sophos DNS Protection داده‌های لاگ و اطلاعات مسدودسازی را به‌صورت خودکار با Sophos Data Lake به اشتراک می‌گذارد. این یکپارچگی برای تیم‌های امنیت (مانند تیم‌های MDR/XDR سوفوس یا تیم‌های داخلی شکار تهدید) ارزش استراتژیک دارد. با داشتن تله‌متری DNS در کنار داده‌های نقطه پایانی و فایروال، تحلیلگران می‌توانند تلاش‌های اولیه برای ارتباط C2 یا خروج داده‌ها را شناسایی کنند و به طور خودکار یا دستی اقدامات پاسخگویی Active Threat Response را فعال سازند.

فیلترینگ بر اساس دسته‌بندی‌های وب

سیاست‌ها می‌توانند بر اساس دسته‌بندی‌های وب از پیش تعریف شده اعمال شوند. هر سیاست می‌تواند شامل مجموعه‌ای از دسته‌بندی‌های اصلی باشد که وضعیت مجاز یا مسدود برای آن‌ها تعیین شده است.

 لیست‌های دامنه (Domain Lists)

برای مدیریت استثنائات، می‌توان لیست‌های دامنه سفارشی White Lists یا Black Lists تعریف کرد. این لیست‌ها به مدیر اجازه می‌دهند تا دامنه خاصی را مجاز یا مسدود کند.

پیش‌نیازهای فنی و لیسانس

استقرار، نیازمند رعایت پیش‌نیازهای سخت‌افزاری، نرم‌افزاری و لیسانس (License) است.

الزامات لیسانس

این قابلیت به‌صورت یک محصول مستقل قابل خریداری نیست. پیش‌نیاز اصلی برای فعال‌سازی Sophos DNS Protection، داشتن اشتراک فعال Xstream Protection بر روی فایروال سوفوس است. این لیسانس پرچم‌دار، که شامل Zero-Day Protection ،Web Protection و Network Protection است، DNS Protection را به‌عنوان یک قابلیت ارزش افزوده برای مشتریان فراهم می‌کند.

الزامات نرم‌افزاری و مدیریتی

مدیریت و پیکربندی DNS Protection منحصراً از طریق کنسول ابری Sophos Central Admin انجام می‌شود. برای بهره‌مندی کامل از قابلیت‌های پیشرفته و بهبودهای مرکز کنترل (مانند ویجت وضعیت و ابزارهای عیب‌یابی پیشرفته)، توصیه می‌شود که فایروال سوفوس بر روی نسخه‌های نرم‌افزاری جدیدتر مانند SFOS 21.5 GA و بالاتر اجرا شود.

مزیت‌ها

 

معماری ابری  (Cloud Architecture)

Sophos DNS Protection یک سرویس حل نام دامنه (Name Resolution) مبتنی بر ابر است که کارایی فوق‌العاده بالا و دسترس‌پذیری جهانی دارد. این قابلیت به طور کامل از طریق کنسول یکپارچه Sophos Central مدیریت می‌شود و برای کاربران فایروال سوفوس که دارای لیسانس Xstream Protection هستند، بدون هزینه اضافی ارائه شده است.

مزیت معماری ابری این قابلیت در دو حوزه کلیدی قابل تحلیل است. کارایی (Performance) و هوش تهدید (Threat Intelligence)؛ از منظر کارایی، این سرویس بار پردازشی سنگین تحلیل دامنه‌ها و اجرای سیاست‌ها را از سخت‌افزار فایروال  به زیرساخت ابری سوفوس منتقل می‌کند. این برون‌سپاری پردازشی تضمین می‌کند که فایروال می‌تواند منابع خود را بر روی اجرای کارکردهای حساس مانند Xstream TLS Inspection و DPI Engine متمرکز کند، بدون اینکه امنیت DNS به قیمت کاهش کارایی کلی شبکه تمام شود. از منظر هوش تهدید، این سرویس توسط SophosLabs و تکنولوژی هوش مصنوعی پشتیبانی می‌شود، که اطمینان حاصل می‌کند که اطلاعات مربوط به آخرین تهدیدات روز و دامنه‌های مخرب جدید و روز-صفر به‌صورت بلادرنگ برای مسدودسازی اعمال می‌شوند.

حفاظت در لایه DNS ومسدودسازی به‌موقع 

ایجاد اولین خط دفاعی در برابر تهدیدات؛ مسدودسازی ارتباطات فرمان و کنترل (C2)، فیشینگ و بدافزار پیش از تبادل کامل داده‌ها، که سطح ریسک را به شدت کاهش می‌دهد.

یکپارچگی و صرفه‌جویی در هزینه‌ها

بدون هزینه اضافی و تنها با لیسانس Xstream Protection! این امر نیاز به خرید، مدیریت و یکپارچه‌سازی راه‌حل‌هایی مانند Cisco Umbrella یا DNSFilter را برطرف می‌کند.

کارایی بالا و معماری Xstream

بار پردازشی سنگین تحلیل دامنه ها به زیرساخت ابری منتقل می‌شود (Offloading)؛ بنابراین کارایی DPI و TLS Inspection فایروال XGS حفظ می‌گردد.

پشتیبانی از XDR/MDR و شکار تهدید

لاگ‌ها به Sophos Data Lake ارسال می‌شوند، که دید جامع و یکپارچه به تحلیلگران تهدید MDR/XDR برای شناسایی فعال و پاسخگویی به حملات (Active Threat Response) می‌دهد.

کنترل دقیق انطباق (Compliance)

قابلیت‌های سیاست‌گذاری، از جمله سفارشی‌سازی دسته‌ بندی‌های وب، امکان انطباق‌پذیری کامل با الزامات فیلترینگ محتوای سازمانی را فراهم می‌کند.

محدودیت‌ها

تحلیل عمیق کارایی نشان می‌دهد که Sophos DNS Protection در کنار مزایای فراوان، دارای محدودیت‌هایی است که باید در معماری امنیتی در نظر گرفته شوند.

محدودیت‌های درخواست روزانه

با وجود اینکه این سرویس ابری است، استفاده از آن مشروط به محدودیت‌های درخواست روزانه (Daily Query Limit) است که بر اساس مدل سخت‌افزاری فایروال (XGS) تعیین می‌شود. این محدودیت‌ها بر اساس مدل دستگاه متغیر هستند؛ به‌عنوان مثال، مدل XGS2300 دارای ظرفیت روزانه ۱,۹۰۰,۰۰۰ درخواست است، در حالی که مدل‌های رده بالاتر مانند XGS6500 می‌توانند تا ۳۲,۰۰۰,۰۰۰ درخواست در روز را مدیریت کنند. سازمان‌های بزرگ باید برآورد دقیقی از حجم درخواست‌های DNS خود داشته باشند تا از تجاوز از این سقف جلوگیری کنند، زیرا تجاوز مکرر ممکن است نیاز به بازبینی معماری DNS یا ارتقاء مدل فایروال را ضروری سازد.

محدودیت IP محور بودن سیاست‌ها

در پیاده‌سازی اولیه، اجرای سیاست و کنترل دسترسی به Resolver DNS بر اساس آدرس IPv4 عمومی مبدأ درخواست‌ها (Location) انجام می‌شود. این بدان معناست که سیاست‌ها بر اساس کاربر یا دستگاه‌های منفرد قابل اجرا نیستند. اگر کارمندان سازمان خارج از شبکه فیزیکی (Roaming Users) قرار گیرند، حفاظت DNS Protection را از دست می‌دهند، مگر این‌که با راهکار نقطه پایانی تکمیل شود.

حساسیت به تغییر IP عمومی

از آنجایی که سیاست‌ها بر اساس IP عمومی ثبت‌شده در Sophos Central اعمال می‌شوند، هرگونه تغییر در این آدرس، مانند استفاده از نشانی‌های IP پویا، باید سریعاً در کنسول به‌روزرسانی شود. در غیر این صورت، فایروال وضعیت “Unrecognized Source” را نشان داده و به طور موقت به روش‌های حل نام بازگشتی (Recursive Resolution) رجوع می‌کند، که منجر به وقفه در اجرای سیاست‌های امنیتی می‌شود.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *